PROYECTO

----
PROYECTO
Concienciación en la seguridad de los sitios web: desenmascara.me
----

lunes, 27 de octubre de 2014

Desenmascara.me en la Black Hat 2014 Europa (Amsterdam)

Gracias al excelente trabajo que realiza ToolsWatch, tuve la oportunidad de asistir a la Black Hat edición Europa, en Amsterdam, que se celebró los días del 14 al 17 de Octubre. Una magnífica ocasión para conocer desarrolladores de otras herramientas de seguridad, charlar e intercambiar ideas.

Me llevo un muy buen recuerdo de esta experiencia, y sobre todo la ocasión de conocer compañeros del sector, tanto trabajando en España y fuera, más común esto último. Me lleve una gran sorpresa por la gran cantidad de ponentes españoles y asistentes.

Por mi parte estuve en el área Arsenal, presentando desenmascara.me:

Desenmascara.me herramienta web cuyos objetivos principales son:

1. Concienciar a los administradores de sistemas, propietarios web y desarrolladores sobre la importancia de mantener actualizado el software necesario para disponer de un sitio web.

2. Para auditores web y pentesters como herramienta ultra rápida para realizar un fingerprinting web.

Para demostrar el uso de la herramienta nada mejor que ver unos ejemplos de uso, como la imagen inferior con algunos casos de uso:


Desenmascara.me: casos de uso


De Amsterdam me traje un buen feedback y más ideas a desarrollar, la lista TODO crece sin parar.

Dos pequeñas anécdotas: Tuve la ocasión de conocer a Michael Bolen, el autor de rkhunter, una de las primeras herramientas de seguridad que empecé a usar allá por el 2002. Hace un año ha creado su empresa CISOfy.
Uno de los asistentes a arsenal me pregunto por la forma de detectar WAFs, estuvimos intercambiando algunas ideas, y luego me dijo que podía coger ideas de su proyecto: SQLmap.  El proyecto web-metadata de owasp se intentará encargar de unificar datos.

Michael, servidor y NJ Ouch, organizador del Arsenal. Al fondo, a la izquierda de la imagen se puede vislumbrar a Jesús Perez, presentando la herramienta Bluebox-NG

Gracias de nuevo a ToolsWatch por la oportunidad de presentar la herramienta, y al mismo tiempo por asistir al congreso BlackHat, que de otra forma, no hubiera tenido oportunidad.

En breve publicaré unos datos, en mi opinión, más que interesantes, sobre el estudio de metadatos y afinación del valor de concienciación de los sitios web según desenmascara.me


EXTRA: Si deseas un sticker con el logo de desenmascara.me, deja un comentario o ponte en contacto conmigo y te lo enviaré donde me indiques.


miércoles, 1 de octubre de 2014

Elplural.com distribuyendo software malicioso

Actualización 1 (5.10.14: 19:45): Que todavía siga saliendo el aviso de twitter de sitio malicioso, significa que aunque elplural.com ya esté limpio de badware, no se han preocupado de seguir el procedimiento de twitter, y/o twitter todavía considera que es peligroso.



A través de meneame.net voy a leer una de las noticias que enlaza al diario elplural.com y me encuentro con el aviso "el sitio al que accedes contiene software malicioso". Compruebo en twitter y veo que hace pocos minutos está ocurriendo.


aunque algunos usuarios se lo toman con algo de escepticismo:


Obviamente el aviso también sale en las búsquedas de Google


En twitter


Y accediendo a traves de Firefox (e IP diferente, fuera de España), cuyo motor de Seguridad (SafeBrowsing) es el mismo que el de Chrome:



Este es el informe de Google: actividad sospechosa 29 veces en los ultimos 3 meses?, vaya eso si que es ser activo !!



Bueno, son unas cuantas pruebas para cerciorarme que en realidad algo esta ocurriendo en el diario online.


Reviso el sitio web a través de desenmascara.me y observo los siguientes puntos a tener en cuenta.

  • El primero de ellos es el valor de concienciacion: 70 en este caso (con 20 o mas se considera que un sitio web esta concienciado con la seguridad). En mi experiencia con este servicio web, sitios web con un valor de 20 o menor son los que mas posibilidades tienen de ser victimas de badware, pero no siempre es asi. Veamos en mas detalle los demas puntos.
  • La versión de Wordpress: [WordPress 3.2.1,WordPress 3.5 tiene más de un año. La última versión estable 4.0 incluye varias correciones de Seguridad a través de las versiones anteriores pero posteriores a las del diario online.
  • En el apartado iframes, observamos varios de ellos que aparentemente no están relacionados ya que apuntan a diferentes dominios que no estan en la lista negra de SAfeBrowsing.
  • En el apartado scripts vemos varias referencias a la red de publicidad: https://ads.elplural.com/www/delivery/ajs.php 
  • En el momento de escribir este artículo de forma apresurada, dicho archivo contiene lo siguiente (lo dejo apuntado para referencia):

var OX_754bdd64 = '';



document.write(OX_754bdd64);



  • Jquery, concretamente la versión JQuery[1.8.3 la tienen alojada en local. Una buena práctica teniendo en cuenta las últimas noticias.
  • El sitio está alojado en CloudFlare, pero la IP no parece tener un gran historial malicioso. Aun asi, no tienen correctamente configurado todos los registros y podemos observar alguna IP real donde alojan el servicio.
Este es uno de los casos interesantes para el servicio web desenmascara.me. El sitio web mostraba un valor de concienciación de 70, bastante bien en teoría, en base a parámetros como estar alojado en cloudflare y signos de hardening como la cabecera HttpOnly. Exactamente este es el mensaje que muestra el servicio web desenmascara.me (versión ingles):

Review iframe as caution measure. Additional secure policy detected. No SSL version info. Many metadata extracted. Old Wordpress, please consider updating. Infrastructure of some of the big-players. Website built with Wordpress....

Ultimamente estoy viendo más sitios comprometidos que casualmente tienen versiones no actualizadas de Wordpress. Parece que tener un wordpress desactualizado hoy en día tiene su riesgo. El valor de concienciación en este caso tendría que haber sido menor por ello, y ademas por la NO correcta configuracion de cloudflare. Hora de actualizar el mini-algoritmo del valor de concienciación. 

Y por supuesto, un diario online como elplural.com comprometido va directo a pwnedwebsites.com

lunes, 14 de abril de 2014

El proyecto web desenmascara.me candidato a los premios del día de Internet

El 17 de Mayo es el día mundial de Internet, ah!, ¿que no lo sabías? conoce un poco mas sobre su origen, y sí, hay efemérides de todo tipo.

Esta entrada es para espamear informar que el proyecto desenmascara.me es candidato a los premios de Internet 2014.




Los Premios de Internet tienen por objetivo reconocer aquellas Iniciativas, Personas u Organizaciones que más se han destacado, durante el año previo a su entrega, en el buen uso de Internet y las nuevas Tecnologías.  Bases de los premios

Uno de los objetivos principales del proyecto desenmascara.me es concienciar sobre el buen uso de Internet a parte de otras muchas funcionalidades. Por eso opta a estos premios, cuya dotación no es económica, sino simplemente eso Reconocimiento a la labor del buen uso de Internet.


domingo, 6 de abril de 2014

desenmascara.me, comprueba si un sitio web ha sido comprometido

“Not only are we seeing a vulnerability used after it was released so long ago, but what we’re seeing is attackers and professional hackers understanding what vendors understand—people just don’t patch,” Shteiman said. “They can’t or won’t or are not minded to fix these problems.” Barry Shteiman, Director of Security research at Imperva.


Desenmascara.me lleva más de un año online recopilando datos de sitios web. Por este servicio pasan webs de todo tipo, infraestructura, software y tamaño. Con los datos que va recopilando, analizo la relación entre un sitio web que ha alojado malware (badware) y el tipo de sitio web y software usado. Calcula una puntuación (valor que proporciona al desenmascarar un sitio web) y desenmascara.me intentará predecir en base a ese valor, las probabilidades que tiene un sitio web de ser comprometido. No hay mucho misterio en el cálculo de este valor, básicamente es la aplicación de lógica. Ultimamente he estado trabajando en algunas nuevas funcionalidades y para explicarlas un poco mejor e intentar clarificar los diferentes conceptos del servicio, ahí va la siguiente lista:


  • Sitio web con badware: En esta clasificación entran todos los sitios que muestran el mensaje "visitar este sitio web puede dañar tu equipo". Google con SafeBrowsing permite verificar si un sitio web esta en dicha lista negra, pero no ofrece un listado de sitios de dicha lista. Con desenmascara.me voy recopilando dicha información :) de forma automática, investigo porque un sitio web ha sido incluido en dicha lista (normalmente por tener iframes maliciosos) y retroalimento con la información obtenida el algoritmo de la puntuación de desenmascara.me para mejorar su precisión.
  • Sitio web comprometido: Esta es una nueva funcionalidad. A modo de histórico. ¿En qué se diferencia de la anterior?. Un sitio web puede haber sido comprometido pero no ser incluido en la lista negra de SafeBrowsing. O puede haber estado incluido, pero no el momento de desenmascararlo, y se trata de un sitio web tan relevante, que es necesario dejar constancia de que dicho sitio web sufrió un incidente de Seguridad.
    • ¿Sabías que recientemente sitios web como; Citroen, Electronic Arts, Medios de comunicación, Gobiernos, Telecomunicaciones... han sufrido todo tipo de incidentes?
    • Echa un vistazo al histórico de sitios web comprometidos.
  • Sitio web oficial: En su día ya explique como poder saber si un sitio web es oficial o falso. Recuerda, si quieres verificar un sitio web de tu propiedad, tan solo tienes que enviar una solicitud a través del formulario de contacto con una dirección de correo del mismo dominio que quieres verificar.
  • Datos con etiqueta azul: Al desenmascarar un sitio, el informe que se muestra dispone de una serie de datos en diferentes colores, hay una leyenda en la parte inferior que explica que significa cada color. Lo más importante es saber que los datos con etiqueta azul son los que cuentan para el cálculo del valor de concienciación. Creo que no hace falta explicarlos, solo un ejemplo: ¿un sitio web cuya caducidad del dominio es dentro de unos pocos días, es más confiable que otro que caducará dentro de 5 años o más?
  • En inglés: Estoy trabajando en la traducción del servicio web desenmascara.me al inglés de forma automática a través del user-agent del navegador con el que se envía un sitio web a desenmascarar.


Por último, te invito a que desenmascares los últimos sitios web que han sido comprometidos e intentes adivinar en algunos casos por qué sufrieron dicho incidente.

domingo, 16 de marzo de 2014

Phishing de gmail con seguridad relajada

Recientemente me encontré con varios correos en mi bandeja de entrada de Gmail, en la de entrada, no en la bandeja de spam, que me comunicaban que estaba a punto de alcanzar el limite de mi buzón. Al principio me extraño mucho, pero hey!, con cantidad de correo y la mala costumbre de no borrar pensé: voy a echar un vistazo.






El enlace que contenía me llevaba directamente a esta pagina:


cuyo sitio web que alojaba el phishing puntuaba como 'poco concienciado' en desenmascara.me, 
pero no solo estaba poco concienciado el propietario del sitio web. Parece que quien había alojado ahí el phishing tampoco le importaba mucho la Seguridad:



Esto mismo ocurría en dos sitios web alojados en el mismo servidor. Reporte los phishings a traves del formulario oficial de Google habilitado para ello. Pero tras 24 horas todavía seguían activos. Entonces los reporte directamente a través de contactos, y a las 2 horas siguientes ya estaban bloqueados.





La ironía de este phishing de Gmail es que las credenciales robadas terminaban en los servidores de Google:


martes, 4 de febrero de 2014

Como saber la IP de un servidor protegido con CloudFlare

Para quién a esas alturas no sepa que es CloudFlare, que eche un vistazo a la entrada: CloudFlare, heroe o villano. Y para los paranóicos que incluyen en cualquier conversación tecnológica las tres siglas en Inglés más famosas de la actualidad, que revisen este proyecto: CloudFlare watch


CloudFlare dispone actualmente de 24 nodos en todo el  mundo. Aunque no se conoce el número de servidores que protege, aquí podeis ver algunos números:


Los números que si se conocen son los dominios protegidos por CloudFlare pero que no están correctamente configurados: 541.491 cuando escribo esta entrada. Aquí podéis consultar detalles

Como la forma de verificar si un dominio protegido por CloudFlare está correctamente configurado y no muestra su verdadera IP es ´straightforward´. He añadido esta verificación en desenmascara.me, ahora para cualquier sitio protegido por CloudFlare hará una verificación extra y mostrará datos adicionales como en este caso:



martes, 31 de diciembre de 2013

Otro año menos

El año pasado no escribí un post fin de año, pero si en 2011. Echemos una mirada rápida a lo que ha sido este año 2013, continuando con los puntos que escribí en 2011 :) :


  • La empresa en la que empecé a trabajar con tanta ilusión allá por 2011 -quebró extrepitosamente-. Esta experiencia me ha ayudado a afinar mi olfato de empresas politizadas, que tanto abundan o abundaban. Aunque tenemos verdaderos profesionales que consiguen o intentan conseguir éxito sólo con duro trabajo, necesitaba aire fresco.
  • Así que lo anterior fué el estímulo que necesitaba para irme fuera. Ahora estoy en Alemania, y tras 4 meses de experiencia por ahí, mi pensamiento casi contínuo es; "¿por qué no lo hice antes?"  
  • Durante este año terminé el BSc que he estudiado online.
  • El proyecto desenmascara.me nació a raíz de dichos estudios.
  • Gracias a desenmascara.me tuve la oportunidad de viajar a Miami a la conferencia de Seguridad Hackmiami
  • Este año fué el del Inglés, hice varias entrevistas por teléfono/skype aún sabiendo que no tenía ninguna posibilidad, pero teniendo en mente que con cada una de ellas ganaba experiencia para lograr mi objetivo.
  • Aunque no domino el Inglés, he tenido el atrevimiento de coquetear con el Alemán. Estas son mis 2 asignaturas para el 2014, junto con todo lo que está por venir. ¿Cuáles son las vuestras?

Recordad: If you don´t make mistakes you don´t make anything. (Anonymous)


¡¡ Feliz 2014 a todos !!